Home
Internal
International
Kontakt
Marta Wiśniewska
16 kwietnia 2020 r.
Decyzją z 9 marca 2020 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) nałożył na będącą w stanie likwidacji spółkę Vis Consulting sp. z o.o. (spółka) karę w wysokości 20 000 zł, z powodu uniemożliwienia PUODO przeprowadzenia czynności kontrolnych (decyzja ta nie jest ostateczna).
PUODO zawiadomił spółkę o zamiarze przeprowadzenia kontroli, ze wskazaniem daty i godziny jej przeprowadzania. W dniu kontroli upoważnieni pracownicy Urzędu Ochrony Danych nie zastali żadnego reprezentanta spółki w jej siedzibie. Obecny był jedynie pracownik innego mieszczącego się pod tym adresem biura, który przekazał kontrolującym informację, że spółka wynajmowała tzw. wirtualne biuro, oraz że złożyła wypowiedzenie umowy najmu. Ponowna próba przeprowadzania kontroli również była nieskuteczna. Kontrolujący nawiązali kontakt z przedstawicielami spółki, którzy przekazali wyłącznie wiadomość, że kontrola nie będzie mogła się odbyć.
PUODO uznał, że takie działania spółki świadczą o tym, że nie realizuje ona obowiązków związanych z przetwarzaniem danych osobowych albo co najmniej w sposób zamierzony unika poddania się kontroli organu nadzorczego, co stanowi naruszenie przepisów RODO. W ocenie PUODO naruszenie to ma poważny i znacznej wagi charakter. Działania spółki wzbudziły także podejrzenie, że udaremnienie przez nią przeprowadzenia kontroli miało na celu uniemożliwienie kontrolującym zebrania dowodów na niezgodne z prawem przetwarzanie przez spółkę danych osobowych.
Ponadto PUODO, w związku z podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych przez prezesa spółki, złożył do prokuratury zawiadomienie o podejrzeniu popełnienia przestępstwa. Zgodnie z tym przepisem za udaremnianie lub utrudnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch.
W związku z wydaną decyzją warto przypomnieć, że zgodnie z RODO, a także polską ustawą o ochronie danych, do zadań Urzędu Ochrony Danych należy m.in. monitorowanie przestrzegania przepisów RODO, w tym także poprzez przeprowadzanie kontroli. Kontrole mogą odbywać się doraźnie (np. na skutek skargi) lub zgodnie z opublikowanym na dany rok planem.
Zgodnie z przepisami, upoważnieni pracownicy Urzędu Ochrony Danych Osobowych przeprowadzających kontrole mają prawo:
Głównym obowiązkiem podmiotu kontrolowanego jest współpraca z organem nadzorczym. Współpraca ta oznacza co najmniej umożliwienie kontrolującym przeprowadzenie ww. czynności. PUODO wskazywał jednak wielokrotnie, że aktywna współpraca ze strony kontrolowanego (m.in. wyczerpujące ustosunkowanie się do zawiadomienia o przeprowadzeniu kontroli – jeszcze przed kontrolą, aktywna współpraca podczas kontroli itp.) mogą stanowić okoliczność łagodzącą.
Wskazana sprawa pokazuje, że w żadnym wypadku nie należy lekceważyć kontroli przeprowadzanych przez PUODO. Brak współpracy może wiązać się nie tylko z nałożeniem kary pieniężnej, ale także indywidualną odpowiedzialnością karną.
Istotne jest jednak znalezienie granicy pomiędzy aktywną współpracą z kontrolującymi, a przekazywaniem nadmiernej ilości informacji (które niekonieczne muszą być przekazane). Kluczowe jest w związku z tym z jednej strony uprzednie przygotowanie organizacji na ewentualne kontrole (m.in. opracowanie procedur, szkolenia pracowników), a z drugiej podjęcie odpowiednich działań bezpośrednio po otrzymaniu zawiadomienia o kontroli (tu kluczowe jest prawidłowe zrozumienie zakresu przedmiotu kontroli i współpraca z kontrolującymi wyłącznie w tym zakresie).
W przypadku zainteresowania wsparciem w zakresie RODO, zapraszamy do kontaktu z ekspertami Rödl & Partner w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.
Marta Wiśniewska
radca prawny
Manager
Wyślij zapytanie
Profil
